Privacyjuristen draaien overuren, mailboxen stromen vol met ‘wij vinden privacy zo belangrijk’-mailtjes, toezichthouders raken in paniek. Vandaag treedt de nieuwe privacywet, alias de AVG, alias de GDPR, in werking.

Op papier geeft ze burgers meer rechten, zijn data er beter door beschermd en hebben overheden en bedrijven meer plichten. Hoe weerbarstig de praktijk is, zal de komende maanden blijken. Hoe gaan organisaties om met de nieuwe verplichtingen? Op welke manier maken burgers gebruik van hun nieuwe rechten? En: kan de toezichthouder, de Autoriteit Persoonsgegevens, haar cruciale rol wel vervullen?

Hieronder een aantal essentiële vragen en antwoorden over de nieuwe wet.

1

Eerst die afkortingen. Waar staan die voor?

De General Data Protection Regulation (GDPR), of Algemene verordening gegevensbescherming (AVG) in het Nederlands, legt vast hoe bedrijven en andere organisaties moeten omgaan met de persoonsgegevens van

Deze wet vervangt vandaag de uit 1995. geldt al sinds 24 mei 2016, maar bedrijven en overheden hebben twee jaar de tijd gekregen om zich aan te passen. Pas vanaf vandaag kunnen ze boetes krijgen als ze de AVG niet naleven.

Zal er veel veranderen?

Overheden, bedrijven en andere organisaties verwerken nu onvergelijkbaar meer gevoelige gegevens dan in de jaren negentig, toen de vorige wet werd ingevoerd. De data komen allang niet meer alleen uit eigen land, maar van over de hele wereld. Daarom is het handig dat de AVG

En dat niet alleen: instanties die goederen of diensten aanbieden aan inwoners van de EU, krijgen óók te maken met de AVG. Denk aan Amerikaanse of Aziatische bedrijven als Google, Facebook of AliExpress. Om die reden wordt de wet ook wel

Zowel de rechten van burgers en consumenten als de plichten van overheden en bedrijven zijn een stuk duidelijker in de nieuwe wet. Bedrijven leggen voortaan beter vast hoe ze gevoelige data verwerken en geven daar meer openheid over. Burgers krijgen zo meer inzicht in wat er met hun gegevens gebeurt.

De centrale hal van Mount10. Uit de serie ‘Deposit’ door Yann Mingard.

De centrale hal van Mount10. Uit de serie ‘Deposit’ door Yann Mingard.

Overheden, en sommige bedrijven, hebben vanaf vandaag ook een zogenoemde nodig. Deze dient te beschikken over ruime kennis van databescherming en werkt onafhankelijk. Hij of zij houdt nauw contact met de toezichthouder die de privacy van burgers monitort. In Nederland is dat de

Bedrijven moeten in twee gevallen zo’n privacyfunctionaris aanwijzen. Ten eerste als ze de data van hun klanten in de gaten houden – Facebook is hier een perfect voorbeeld van. Ten tweede als ze ‘bijzondere categorieën’ persoonsgegevens verwerken. Dit zijn bijvoorbeeld etniciteit, politieke of religieuze overtuiging, seksuele geaardheid

Schaadt een organisatie de rechten van burgers, dan kan de boete oplopen tot 20 miljoen euro of, als dat hoger is, 4 procent van de jaaropbrengst

Overtreedt een instantie de AVG, dan staat haar een fikse boete te wachten. Een organisatie die haar plichten niet serieus neemt, variërend van het tot het kan rekenen op een boete van maximaal 10 miljoen euro of 2 procent van de jaaromzet - het ligt eraan

Schaadt een organisatie de rechten van burgers, dan verdubbelt de boete naar 20 miljoen euro, dan wel een inname van 4 procent van de jaaropbrengst. Dit kan gebeuren als een gebruiker niet de optie krijgt om zijn gegevens te rectificeren, op te vragen of de toestemming om deze te vergaren in te trekken.

Dit zijn serieuze bedragen en daarmee een grote verbetering, vindt promovenda Sarah Eskens, verbonden aan het Instituut voor Informatierecht van de Universiteit van Amsterdam. ‘Onder de oude privacyregels konden toezichthouders Daardoor waren er voor organisaties weinig prikkels om de wet na te leven. Nu hebben toezichthouders een stok achter de deur.’

Is de wet controversieel?

Zoals elke Europese wet is ook de AVG tot stand gekomen in de zogenoemde ‘trialoog’ tussen de Europese Commissie, het Europees Parlement De verschillende organen waren het tijdens de onderhandelingen over de wet De uiteindelijke versie kwam er pas na vier jaar onderhandelen en een

Een resultaat van deze onderhandelingen is bijvoorbeeld het onderscheid tussen de – die het laatste woord heeft over wat er met je persoonlijke gegevens gebeurt – en de ‘dataverwerkers’, die onder diens leiding met jouw gegevens werken.

Promovenda Eskens noemt het onderscheid tussen deze twee rollen ‘geforceerd en niet meer aan te sluiten bij de realiteit’. De nieuwe wet gaat uit van duidelijke verhoudingen tussen controleurs en verwerkers, maar volgens haar is die rolverdeling zelden goed te overzien: ‘Organisaties besteden veel dingen uit, zoals dataopslag in de cloud, big-data-analyse en beveiliging.’

Dat probleem ziet ook Bart van der Sloot, als privacy- en technologie-onderzoeker verbonden aan de universiteiten van Tilburg en Amsterdam. Hij is tevens auteur van het boek

‘Wie nu precies de verantwoordelijke, gezamenlijke verantwoordelijke, verwerker of subverwerker is, is vaak onduidelijk en lastig te zeggen. Waar het om gaat, is dat in overeenkomsten duidelijk wordt wie wat doet en wie waarvoor verantwoordelijk is.’

Zijn overheden en bedrijven er klaar voor?

Zoals gezegd hadden overheden en bedrijven twee jaar de tijd om zich voor te bereiden op de AVG. Voor de Belastingdienst was dat in ieder geval niet lang genoeg: vorige maand dat hij de deadline van 25 mei

Maar met name bedrijven komen de laatste maanden in het nieuws over de AVG, want die voldoen lang niet allemaal aan de wet. Uit een onderzoek van de MKB Servicedesk blijkt dat zeven op de tien mkb-bedrijven nog niet de benodigde maatregelen

De kelder van SafeHost, een particulier datacentrum, gebouwd in 2000 in een voorstad van Genève. Onder hun klanten bevinden zich zowel financiële instanties en internationale organisaties als particuliere bedrijven. Het complex beslaat een oppervlak van 10.000 m2. Uit de serie ‘Deposit’ door Yann Mingard.

De kelder van SafeHost, een particulier datacentrum, gebouwd in 2000 in een voorstad van Genève. Onder hun klanten bevinden zich zowel financiële instanties en internationale organisaties als particuliere bedrijven. Het complex beslaat een oppervlak van 10.000 m2. Uit de serie ‘Deposit’ door Yann Mingard.

Sterker nog, advocaat Axel Arnbak denkt dat ‘Het is geen binaire vraag, als in: je voldoet wel of niet aan de regels.’

Verder hebben nog lang niet alle organisaties die onder de nieuwe wet vallen een privacyfunctionaris in dienst genomen. Een week voordat de AVG van kracht werd, hadden slechts 2.300 van de naar schatting 5.000 daartoe verplichte instanties een geschikte kandidaat gevonden,

Eskens wijst op een groeiende ‘AVG-industrie’: ‘Bedrijven en advocatenkantoren die goed geld gaan verdienen met het adviseren van andere bedrijven

Wat merk jij van de nieuwe wet?

Waarschijnlijk heb je de afgelopen weken talloze mailtjes ontvangen van bedrijven, waarin ze vertellen over hun aanpassingen voor de AVG. De meeste daarvan zijn goed nieuws: als jouw gegevens bij bedrijven binnen of buiten de EU belanden, krijg je namelijk veel meer rechten.

Als jouw gegevens bij bedrijven binnen of buiten de EU belanden, krijg je veel meer rechten

Wil je erachter komen wat een organisatie over jou weet? Dan heb je het recht om een verzoek daartoe in te dienen. Zo biedt Twitter bijvoorbeeld de mogelijkheid om te zien

Dankzij de AVG moet een instantie jou vertellen of ze data van jou verzamelt - en zo ja, waar, hoelang en waarom die worden bewaard. Ook kun je nu vragen om een gratis die je in theorie aan andere bedrijven kunt doorgeven.

Denk aan je muzieksmaak op Spotify, die je misschien eens wil overhevelen naar concurrent Tidal. Dit wordt het

‘Ik kan me voorstellen dat dit nuttig is voor diensten waar je gegevens opslaat, zoals Dropbox of Google Photos’, aldus Eskens. ‘Als je op een dag besluit dat je liever een andere dienstaanbieder wilt, is het handig als je je gegevens kunt downloaden of overzetten.’

Privacy-onderzoeker Van der Sloot is sceptischer: ‘Dit recht gaat alleen over de gegevens die consumenten zelf hebben aangeleverd, en dus niet om afgeleide data. Terwijl dat nu juist is waar het doorgaans om gaat - die data

Deze ruimte met 300 werkplekken in het SafeHost-gebouw staat altijd klaar om gebruikt te worden, zodat een klant de werkzaamheden kan voortzetten tijdens een datalek bijvoorbeeld. Er zijn een cafetaria, conferentieruimte, printers en telefoons beschikbaar. Binnen een paar uur kunnen alle werkzaamheden hervat worden.
Deze ruimte met 300 werkplekken in het SafeHost-gebouw staat altijd klaar om gebruikt te worden, zodat een klant de werkzaamheden kan voortzetten tijdens een datalek bijvoorbeeld. Er zijn een cafetaria, conferentieruimte, printers en telefoons beschikbaar. Binnen een paar uur kunnen alle werkzaamheden hervat worden.
Serverkasten in datacentrum Bahnhof.se. Uit de serie ‘Deposit’ door Yann Mingard.
Serverkasten in datacentrum Bahnhof.se. Uit de serie ‘Deposit’ door Yann Mingard.

Tegelijkertijd is het de vraag of je, met zoveel instanties die gegevens over jou in bezit hebben, wel al jouw data kunt inzien. Van der Sloot: ‘Het is onrealistisch om burgers de controle te geven over al deze dataprocessen en hen voor hun rechten op te laten komen.’

Als je vindt dat jouw persoonsgegevens verouderd of niet meer relevant zijn, of als je je toestemming intrekt om die te mogen verzamelen, dan treedt het zogenoemde in werking. Hiervoor kun je een schriftelijk verzoek indienen.

Google begon hier al in 2014 mee, toen het Europese Hof van Justitie bepaalde dat de zoekmachine links naar artikelen moet verwijderen als een persoon

Ook belangrijk: de verplichting om het binnenhengelen van data te beperken, en deze zo goed mogelijk te beschermen. Dat laatste wordt genoemd.

En ben je jonger dan 16 jaar? Dan worden jouw data in theorie nog beter beschermd, want om die te mogen verzamelen, hebben bedrijven voortaan expliciete

Hoe wordt de AVG gehandhaafd?

Hoe effectief de wet in Nederland zal zijn, hangt af van de Autoriteit Persoonsgegevens, zegt advocaat en onderzoeker Ot van Daalen, die daar zelf tot voor kort werkzaam was. De toezichthouder heeft volgens hem ‘beperkte capaciteit, dus zal ze prioriteiten moeten stellen’.

Zelf geeft de Autoriteit aan dat ze zeker honderd mensen extra nodig heeft om de wet Daardoor zal dus niet iedereen worden aangepakt, voorspelt Van Daalen. ‘Maar ik hoop dat ze er niet voor terug zal deinzen om boetes op te leggen.’ Ook Van der Sloot verwacht niet dat de privacywaakhond

Voordat de Autoriteit Persoonsgegevens bij de constatering of melding van een overtreding boetes uitdeelt, volgt ze een zogenoemde ‘escalatieladder’, legt Van der Sloot uit. Eerst vraagt de waakhond hoe een organisatie data precies verwerkt. Daarna volgen instructies om dat proces te verbeteren.

De centrale serverruimte van Mount10. Uit de serie ‘Deposit’ door Yann Mingard.
De centrale serverruimte van Mount10. Uit de serie ‘Deposit’ door Yann Mingard.

Gaat het dan nog steeds fout, dan zal de Autoriteit de organisatie berispen. Bij herhaling zet het orgaan de gegevensverwerking bij de betreffende organisatie stil. Pas op het allerlaatste moment volgt een boete.

Angst voor boetes heeft instanties binnen én buiten de EU niettemin aan het werk gezet. Van virusscanner tot de en van techbedrijf tot de allemaal hebben ze checklists ontwikkeld.

Dat is niet vreemd: de kosten om alleen al op technologisch vlak aan de AVG te voldoen, kunnen voor grote organisaties

De wet is soepeler voor instanties met Zij hebben niet altijd de middelen om zich snel om te scholen. Maar, voegt advocaat Van Daalen toe: ‘Je kunt een privacyfunctionaris parttime aanstellen of op freelancebasis. Extra administratie en kosten kun je zo beperkt houden.’

Zijn vakgenoot Arnbak vindt het grootste voordeel van de AVG dat nu ook midden- en kleinbedrijven zich bewust zijn van privacywetgeving. ‘Kleine internetwinkels of advertentiehandelaars werkten allang met heel veel data, maar de naleving van privacywetgeving was ver ondermaats.’

Geldt de AVG ook voor de geheime diensten?

Nee, want de wet gaat niet over De verzameling van data door de geheime diensten wordt door een aparte wet geregeld:

Bedrijven waarmee inlichtingendiensten samenwerken, kunnen wél onder de AVG vallen, merkt Eskens op. Ze noemt telecombedrijven die gegevens verzamelen in het kader van hun dienstverlening, en deze vrijwillig of op bevel doorgeven aan inlichtingen- en veiligheidsdiensten of de politie.

‘Die partijen zijn wel gebonden aan de AVG’, vult Arnbak aan. ‘Vergis je niet: voor het versterken van hun informatiepositie zijn geheime diensten in belangrijke mate afhankelijk van wat private partijen aan hen kunnen leveren. Sommige bedrijven beperken de hoeveelheid persoonsgegevens die ze verzamelen vanwege de AVG. Data die er niet meer zijn, liggen ook niet meer op de plank voor de diensten.’

Betekent dit dat Facebook en Google aan banden worden gelegd?

Facebooktopman Mark Zuckerberg noemde de wet tijdens zijn getuigenis in het Amerikaanse Congres Het sociale netwerk vraagt gebruikers nu expliciet om toestemming om doelgerichte advertenties en

Zuckerbergs spiekbriefje voor de hoorzitting ‘Zeg niet dat we al doen wat de GDPR vereist.’ Bovendien meldt persbureau Reuters dat Facebook zijn anderhalf miljard niet-Europese gebruikers ‘gewoon’

Het is bekend dat Facebook ook gegevens binnenharkt van internetters die Zuckerberg kondigde begin deze maand aan dat gebruikers voortaan kunnen weigeren dat door Facebook verzamelde data

Ingang naar datacentrum Bahnhof.se, dat zich 30 meter onder de grond bevindt, in een uit rots gehouwen ruimte onder Stockholms Sofiakerk. Tijdens de Koude Oorlog werd de locatie gebruikt als militaire schuilkelder. Momenteel huisvest de ruimte de best verbonden datacentra in Noord-Europa. Uit de serie ‘Deposit’ door Yann Mingard.

Ingang naar datacentrum Bahnhof.se, dat zich 30 meter onder de grond bevindt, in een uit rots gehouwen ruimte onder Stockholms Sofiakerk. Tijdens de Koude Oorlog werd de locatie gebruikt als militaire schuilkelder. Momenteel huisvest de ruimte de best verbonden datacentra in Noord-Europa. Uit de serie ‘Deposit’ door Yann Mingard.

Je raadt het al: voor internetters die geen account hebben op ’s werelds grootste sociale platform - maar van wie wel degelijk gegevens worden verzameld - bestaat deze zogeheten ‘opt-out’ niet.

Daarmee ondermijnt Facebook ‘de geest van de nieuwe regulering’, de Europese ‘Data Protection Supervisor’ Giovanni Buttarelli. Al is het de vraag of het overhevelen van gebruikers juridisch standhoudt, stelt advocaat Van Daalen. ‘Je moet heel wat maatregelen nemen, wil je dat in de praktijk laten werken. Ik sluit echter niet uit dat andere bedrijven ook zoiets gaan doen.’

Google pakt het anders aan. De zoekmachine heeft zijn gebruikers een e-mail gestuurd, waarin ze de veranderingen uitlegt. Het bedrijf heeft de nieuwe voorwaarden geschreven in - voor techbedrijven - en maakte uitlegvideo’s.

Zuckerbergs spiekbriefje voor de hoorzitting voor het Amerikaanse Congres: ‘Zeg niet dat we al doen wat de GDPR vereist’

Al sinds 2011 biedt Google de maar met de AVG in het achterhoofd belooft het bedrijf dat gebruikers in de nabije toekomst gegevens kunnen inwinnen van meer Googlediensten. Aan een optie om deze data om de zoveel tijd automatisch op te vragen, zegt Google nog te werken.

Bedrijven die apps maken voor Googles mobiele besturingssysteem Android, zitten wel met een probleem. Veel gratis apps zetten in op advertenties als verdienmodel, maar het is voor hen onzeker of dit nog mag onder de AVG.

Google heeft beloofd een nieuwe versie van zijn software uit te brengen die voldoet aan de nieuwe wet, maar deze is nog altijd niet af. Om boetes te omzeilen, overwegen sommige ontwikkelaars

Uitgevers van onder meer krantenwebsites zijn evenmin blij met Googles aanpak. Het bedrijf eist dat zij namens Google toestemming vragen aan hun klanten De zoekgigant wordt zo ‘verwerkingsverantwoordelijk’ voor die data, terwijl uitgevers juist hoopten dat zij dankzij de AVG meer controle zouden krijgen over hun klantprofielen.

Deposit De beelden bij dit stuk zijn gemaakt door de Zwitserse fotograaf Yann Mingard. Tussen 2009 en 2013 documenteerde hij plekken die onze drang tot verzamelen en bewaren belichamen. Archieven vol menselijk DNA, dierlijk DNA, allerlei soorten plantaardige zaadjes, en natuurlijk centra vol digitale data. Van de laatste categorie maakte hij de foto’s bij dit stuk. Bekijk hier meer werk van Yann Mingard

Met dank aan promovenda Sarah Eskens en advocaat Axel Arnbak voor het meelezen.

Meer lezen?

We hebben een groot probleem met Facebook. En dat gaat verder dan privacy De commotie over het Cambridge Analytica-schandaal bij Facebook staat voor méér dan een privacyprobleem. De democratie staat op het spel, waarschuwt hoogleraar José van Dijck. Lees ons verhaal hier terug Dit zijn de argumenten voor en tegen de nieuwe inlichtingenwet Op 21 maart kunnen we ons in een raadgevend referendum uitspreken voor of tegen de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv). Dit zijn de belangrijkste argumenten van de voor- en tegenstanders. Lees ons verhaal hier terug